В общем так:
1. Обрубаем все так, что бы пользователи никуда не ходили кроме как через проксю.
2. Запрещает на проксе Content-type: AIM/HTTP. Это можно сдлеать и на сквиде и на isa. Что-то подобное реализованно в последней рульке, но боюсь будет много фэлсов, так что её лучше обрубить.
Это даст нам счастие в виде запрета хождения аси по http.
3. Юзаем рульки снорта приведенные ниже. Рульки сильно не тестировались, по идее можно было прикрутить http препроцессор, но не делал ибо лень. За пиво могу напрячься .
Первая и вторая меня радуют тем что отслеживают трафик клиента, а представить себе браузер, который всякую фигню бает типа <key></key> шлёт тяжко....

Юзался софт
icq lite (свежий софсем)
ms netmon 2.5
1.9 какой-то сонорт.
+ мануал "Как писать правила для снорта и остаться в здавом уме" aka "how 2 write snort rules & keep your sanity"


# icq.rules
# snort rules for ICQ http/https tunnels
# ©ded by asu4ka 2003.
# v 0.0.0.1

var PR_IP 192.168.200.12
var PR_TCP 8080

alert tcp any any -> $PR_IP $PR_TCP (msg: "ICQ HTTPS/HTTP _basic_, mf!";\
flow: to_server, established; content: "ICQBasic";)

alert tcp any any -> $PR_IP $PR_TCP (msg: "ICQ HTTPS _key_, mf!";\
flow: to_server, established; content: "<key>"; content: "</key>"; nocase;)

alert tcp $PR_IP $PR_TCP -> any any (msg: "ICQ HTTP _aim/http_, mf!";\
flow: from_server,established; content: "AIM/HTTP"; nocase;)

если по хттп то можно попробовать рульки отсюда:
http://www.horseplay.demon.co.uk/snort.html

Если по хттпс, то грусть.
Если интересно, могу сегодня вечером поковырять

Обсуждение статьи Спамеры «захватывают широкополосные ПК»

ихмо, провайдеров напрягать!
пускай за 5 копеек в час делают "безопасность" юзверю.
и им копеечка и народу счастье.

Я обычно Microsoft Loopback Adapter юзаю если у установачной лаборатории сеть не изолированная.
Потому как боюсь ставить машину "непатченной" в дикую сеть. Стачала поставил, настроил, залил патчики, а потом уже в сетку включать. Ибо в свое время проходили с Nimda .
Добавляется MLA через адд\ремув хардваре, нетворк адаптерс, майкрософт.
Эмулирует "подключенную" сетевую 10МБ карточку езернет.

Также вполне удобно когда хочешь задействовать "файрвольные" и VPN фишки на ISA с одним сетевым интерфейсом (например сделать из ISA чистый VPN HUB). Один интерфейс реальный, в инете, а второй MLA эмулирует внутренний, который никуда не подключен.

koras, предупреждать нада!
на меня весь офис косится

<a href="http://hate.pta.ru/?name=%D0%E0%E1%EE%F2%E0&gender=f" target="_blank">Работа...</a>

пофиксил линк

Согласно законам РФ, крайним за инф. безопасность является руководитель предприятия. Именно поэтому и нужны всякие политики-мелитики, что бы эту ответсвенность свалить на юзверей и админов.

А конкретно по мерам, это очень dependet, в связи с наличием кучи сервисов.

Стратегия стандартная:
1. Отсечь лишних, чужих, неавторизованных полизователей (настройка утентификации, что бы ходили хорошие протоколы, типа кербероса или ntlm v 2, а если незя, то закриптовать нафиг.  что бы не торчали анонимные smtp  и т.д.).
2. Разграничить доступ. Самая тяжкая задача, поскольку самая емкая. Кому что нужно, и поминимуму - головная боль. Сюда же включается сетевая защита, настройка файрволов, пакетная фильтрация на маршрутизаторах, ограничение административных привелегий, права доступа и т.д. и т.п. и ой-ёй-ёй)
3. Обеспечение контроля за действиями пользователей и админисраторов.  Настройка аудита, сбор журналов, ценрализованное хранение, анализ... Тоже головная боль, но поддается автоматизации.
4. Контроль целосности (защита от несанкционированной модификации настроек). Понижение пользовательских привелегий, антивирусная защита, ограничение инфтерфейса рабочих станций, запреты на запуск программ и т.д.
5. Дополнительная защита критичной информации. Разные IPSec, SSL, PGP, S/MIME, EFS где надо и где не надо.

Ну и как-то всем этим ещё и управлять надо. Лучше ценрализованно.

PS. Но где же локальная политика в IIS Lockdown...

... Ушел на nsa  читать руководства о локальных бейсиковых политиках в IISlockdown и md5 в фильтрах IPSec...

Забрав взад все сертификации ушел на nsa читать руководства о локальных бейсиковых политиках в IISlockdown и md5 в фильтрах IPSec...
Пока не найду - не вернусь....

и 137 тожа. бродкастами на разрешение имен долбит через оба.

воопчета нбтстат (типа служба разрешения именев нетбивос) работает через 138 юдп....

MBSA ищет только очень, очень "базовые ошибки". Он так и называется - "Анализатор основных элементов защиты Microsoft®". Это не я. Это российское представительство MS так перевело.

Если Russ Cooper - основатель и редактор ntbugtraq для тебя, это "соха", то как ты себя называешь... Видимо супермегагуруотец.

IIS Lockdown утилита несомненно полезная, но дело в том, что настройки её применяются однократно (при её запуске) и со временем могут "расползаться".

А здесь, при каждой перезагрузке системы они заново накатываются, что не может не радовать.

Кста, действие скрипта примерно равно действию IIS Lockdown. И на то он и скрипт, что бы можно было подправить до себя (расслабить\закрутить гайки).

так что... вылезать из танка... и читать матчасть... по-английски...

hfnethkpro есть. она ставит. но она стоит.

Почему плохии? Посмотри оригинал, тама благодарности большими буквами благодарность ISS.

Кста - из багтрека сегодняшнего:
Тулзочка для сканирования (от Graham, Robert (ISS Atlanta) [rgraham@ISS.NET])

http://www.iss.net/support/product_utilities/

Меня всегда умиляли сравнения Exchange и sendmail

Ребятки - sendmail - это SMTP маршрутизатор (MTA) и все.
Exchange - система обмена сообщениями и автоматизации воркфлоу. SMTP сервер - только один из компонентов Ex и причем далеко необязательный.
Да, несомненно *nix MTA гораздо гибче в настройке, и именно поэтому у них можно весьма хорошо "закрутить" гайки, оставив только необходиму функциональность.

Кста, во многих серьезных ентерпрайзах smtp работает только на одном exchange сервере - том через который все ходят ценрализованно в интернет. и естественно он не торчит наружу, весь трафик проходит через фсяческие контент-фильтры и иже сними.

Но переметрическая защита - это 0,1 % всей безопасности.

А то бы не было простоев - на то и пейсопасники, что бы обеспечивать доступность систем. Вне зависимости от того, на каких платформах она реализована.

Приходишь ты в контору, а там вертится _критичный_ софт на баньяне или хуже того, на nt 4 SP3 а на другом работать не может. И что ты будешь делать?  Переписывать?

те же яйтца - вид збоку - отправляем по смтп, получаем по imap - и то и другое без ssl - полный отстой. А openssl отстой не только полный, но ещё и дрявый (bugtraq соврать не даст

а деревяшке замену? это же не просто централизованное хранилище учетных записей. Это механизм управления безопасностью и всем чем хочешь в сети. Причем мощнейший механизм. Те же корневые сертификаты ты через exim+чегото+ldap разложишь на машинки пользователей, что бы они твоему smpt+ssl доверяли, ась?

а что юзать?
Ты мне хоть один функциональный аналог приведи, я посмотрю и возможно завяжу с технологиями MS.

qmail+popa3d+nis не предлагать ибо убого.

2 koras

HIDS тут рулят, только дорогие, блин, особенно если Real Secure, особенно если она.

--- реклама он ---

хотя "инфор за счит а"  до нового года впаривает 1000 desktop protector за 30 килобаксов, т.е. 30 баков за штуку. Его смело можно громоздить на серверок и файрволить и идэсить в свое удовольствие. Dcom #2 отшивает чуть не с весенними обновлениями.

---реклама  офф---

Статейка про прикольная, только правильно было бы назвать её "Настройка безопасности IIS про помощи сценариев WMI"
Группове политики там сбоку-припеку - средства запуска сценария.

Кроме того, интересно, кто будет выставлять машину-член домена во внешнюю сеть. Хотя в принципе можно, если домен специализированный - "внешнепубликационный".

И интересно, как мелкософт собирается DMZ строить для поддержки клиентов AD с помощью своих продуктов (читать ISA server)?